[LUG.ro] Fwd: (06/08/2003) Denegación de servicio e
n Linux con Netfilter
Maria Eugenia
lugro@lugro.org.ar
Thu, 7 Aug 2003 11:03:04 -0300
(06/08/2003) Denegación de servicio en Linux con Netfilter
===8<==============Original message text===============
-----BEGIN PGP SIGNED MESSAGE-----
-------------------------------------------------------------------
Hispasec - una-al-día 06/08/2003
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Denegación de servicio en Linux con Netfilter
---------------------------------------------
Recientemente han aparecido dos vulnerabilidades sobre
Netfilter/Iptables que se distribuye como subsistema de cortafuegos
con los núcleos más recientes de linux (2.4, 2.5). Este otorga la
posibilidad tanto de filtrado y manejo de paquetes como distintos
tipos de NAT (traducción de direcciones de red).
El primer tipo de DoS afecta a los núcleos 2.4.20 y los últimos 2.5
con CONFIG_IP_NF_NAT_FTP o CONFIG_IP_NF_NAT_IRC activados o con los
módulos de ip_nat_ftp o ip_nat_irc cargados cuando los paquetes de
tanto de ftp como de irc no están prohibidos.
Se recomienda actualizar a la última versión del núcleo, en caso de no
ser posible siempre se puede prohibir la iniciación de conexiones NAT
de irc y ftp a usuarios que carecen de nuestra confianza.
El segundo tipo de DoS solo afecta a los núcleos 2.4.20 con
CONFIG_IP_NF_CONNTRACK activado o el modulo ip_conntrack cargado. El
problema viene dado tras los cambios introducidos en esta versión en
las listas enlazadas y la asignación de un timeout muy alto para las
conexiones no confirmadas (aquellas que han pasado únicamente en una
dirección y aun no en la otra).
Igualmente desde Hispasec recomendamos actualizar a la última versión
para atajar ambos problemas. Es posible también aplicar los parches
disponibles en las notas de alertas que enlazamos mas abajo.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1746/comentar
Más Información:
Netfilter Security Advisory: NAT Remote DOS (SACK mangle)
http://www.netfilter.org/security/2003-08-01-nat-sack.html
Netfilter Security Advisory: Conntrack list_del() DoS
http://www.netfilter.org/security/2003-08-01-listadd.html
Francisco Javier Santos
fsantos@hispasec.com
Tal día como hoy:
-----------------
06/08/2002: El troyano que burla los firewalls
http://www.hispasec.com/unaaldia/1381
06/08/2001: Análisis del gusano "Code Red II"
http://www.hispasec.com/unaaldia/1016
06/08/2000: Ataque físico a iKey
http://www.hispasec.com/unaaldia/650
06/08/1999: Parche de Microsoft para evitar el spam a través de Exchange
http://www.hispasec.com/unaaldia/283
-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/contacto
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2003 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPzF9Vmm0B3NuQ/7BAQGnWAf/Z+/yyPNZBF0Z5uS3VB18GwwXlKhQ6Wu/
hCkbb2pozc9TY+X4jbyEsOLIXTXSKS6UiqKyEqBJ4Eg4HVdcrnfGdonmNTuQS5p/
IJ9VTP2yG/daIORG15b7HgJNykeKbAOE2ynBWlk8iD1zt2rUyWypuDGB3onW8IWi
sbb/D5mY9rBtbCf9RJFUYBwU8aA5899c6ezM7idkRilX6H4yS2eg4Qd7YfGXaymD
yJssnbEoMZOhC70xVwx6JeOpgE7FppHSQmSdKpRCet6ANFLGs8PUdaNZa2XOTE8u
NJ2C8t2DQL6Dj7aYVsKxajdI8LQfDOCk+S7y9P0Hf0C4yXTlEAkoSg==
=VpqV
-----END PGP SIGNATURE-----
===8<===========End of original message text===========
--
Maru mailto:marurosario@ciudad.com.ar